Eine kritische SSRF-Schwachstelle (Server-Side Request Forgery) mit der Bezeichnung CVE-2024-21893 wurde kürzlich in alarmierendem Ausmaß in den Produkten Ivanti Connect Secure und Policy Secure ausgenutzt. Diese Schwachstelle hat innerhalb der Cybersicherheitsgemeinschaft aufgrund der Massenausnutzungsversuche und der Möglichkeit eines unbefugten Zugriffs, einschließlich der Einrichtung einer Reverse-Shell, erhebliche Bedenken hervorgerufen.
Details zur Ausnutzung von CVE-2024-21893
Der Exploit zielt speziell auf CVE-2024-21893 ab, eine SSRF-Schwachstelle in der Security Assertion Markup Language (SAML)-Komponente der Produkte von Ivanti. Diese Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung auf eingeschränkte Ressourcen zuzugreifen. Die Shadowserver Foundation meldete einen Anstieg der Ausnutzungsversuche, die von über 170 verschiedenen IP-Adressen ausgingen, was den Ernst der Lage unterstreicht.
Insbesondere hat das Cybersicherheitsunternehmen Rapid7 einen Proof-of-Concept (PoC)-Exploit veröffentlicht, der CVE-2024-21893 mit CVE-2024-21887 kombiniert, einem zuvor gepatchten Befehlsinjektionsfehler. Diese Kombination erleichtert die nicht authentifizierte Remotecodeausführung und erhöht die mit der Sicherheitslücke verbundenen Risiken.
Ausbeutungslandschaft und Risiken
Die Situation wird durch die Verwendung veralteter Open-Source-Komponenten in Ivanti VPN-Appliances verschärft, wie der Sicherheitsforscher Will Dormann hervorhebt. Die ausgenutzte SSRF-Schwachstelle (CVE-2024-21893) steht im Zusammenhang mit der Open-Source-Bibliothek Shibboleth XMLTooling, die im Juni 2023 behoben wurde.
Bedrohungsakteure haben die Situation schnell ausgenutzt: Berichte des zu Google gehörenden Unternehmens Mandiant enthüllten die Ausnutzung von CVE-2023-46805 und CVE-2024-21887. Diese Exploits wurden verwendet, um verschiedene benutzerdefinierte Web-Shells bereitzustellen, darunter BUSHWALK, CHAINLINE, FRAMESTING und LIGHTWIRE.
Globale Exposition und Reaktion
Die Ergebnisse der Palo Alto Networks Unit 42 deuten auf eine besorgniserregende globale Gefährdung hin: Zwischen dem 28,474. und 145. Januar 26 wurden in 30 Ländern 2024 Instanzen von Ivanti Connect Secure und Policy Secure entdeckt. Darüber hinaus wurden bis zum 610. Januar 44 23 kompromittierte Instanzen in 2024 Ländern identifiziert .
Als Reaktion auf die eskalierenden Bedrohungen hat Ivanti Maßnahmen ergriffen, um die Schwachstellen zu beheben. Sie veröffentlichten eine zweite Schadensbegrenzungsdatei und leiteten die Verteilung offizieller Patches ab dem 1. Februar 2024 ein. Organisationen werden dringend aufgefordert, diese Patches umgehend anzuwenden und strenge Sicherheitsmaßnahmen zu implementieren, um die durch solche Schwachstellen und PoC-Exploits entstehenden Risiken zu mindern.
Best Practices für die Prävention
Um zukünftige Infektionen zu verhindern und Systeme zu sichern, sollten Unternehmen die folgenden Best Practices übernehmen:
- Wenden Sie Patches umgehend an: Aktualisieren und wenden Sie regelmäßig die von Softwareanbietern bereitgestellten Sicherheitspatches an, um bekannte Schwachstellen zu beheben.
- Kontinuierliche Überwachung: Implementieren Sie eine kontinuierliche Überwachung auf verdächtige Aktivitäten und potenzielle Sicherheitsbedrohungen im Netzwerk.
- Sicherheitsbewusstseinstraining: Führen Sie regelmäßige Sicherheitsschulungen für Mitarbeiter durch, um potenzielle Bedrohungen zu erkennen und zu melden.
- Netzwerksegmentierung: Nutzen Sie die Netzwerksegmentierung, um die Auswirkungen potenzieller Sicherheitsverletzungen zu begrenzen und kritische Systeme zu isolieren.
- Nutzen Sie Advanced Threat Intelligence: Nutzen Sie erweiterte Bedrohungsinformationen, um über neu auftretende Bedrohungen und Schwachstellen auf dem Laufenden zu bleiben.
Durch die Einhaltung dieser Best Practices können Unternehmen ihre Cybersicherheit verbessern und das Risiko verringern, Opfer von Exploits zu werden, die auf kritische Schwachstellen wie CVE-2024-21893 abzielen Ivanti Produkte. Wachsamkeit, proaktive Sicherheitsmaßnahmen und zeitnahe Reaktionen sind in der heutigen sich entwickelnden Bedrohungslandschaft von entscheidender Bedeutung.